随着COVID-19大流行在全球范围内的蔓延,越来越多的公司要求员工根据政府颁布的新法规以及他们自己的福祉在家工作。这场史无前例的健康危机意味着,尽管有过去的担忧,许多部门仍不得不适应新的条件并接受远程工作。

不愿采用远程工作策略通常与组织处理的信息的敏感性有关。卫生和金融业等对数据保护要求更加严格的行业长期以来一直反对远程工作。但是,由于最近的事态发展,许多人发现自己不得不重新考虑以前的立场,并允许其员工在家中工作。

当今,大多数国家/地区都将健康信息视为高度敏感的数据。在美国,它属于 健康保险流通与责任法案 (HIPAA)管辖受保护健康信息(PHI)的隐私和安全性,并由美国卫生与公共服务部(HHS)的民权办公室(OCR)实施。

针对虚拟医疗的HIPAA要求放宽

为了应对持续发生的COVID-19大流行,HHS认识到医疗服务提供商需要通过远程通信技术以虚拟方式向患者进行交流并向其提供医疗服务。这以前未完全符合HIPAA规则,但HHS已 宣布 现在允许它们响应当前情况。

在COVID-19公共卫生突发事件期间,OCR还将行使其执法自由裁量权,不对与虚拟医疗相关的HIPAA违规行为处以罚款。它还提供了允许进行视频聊天的推荐应用程序列表,其中包括Skype,FaceTime和Zoom。

HIPAA要求仍然是强制性的

尽管由于当前的紧急情况而放宽了一些规则,但值得注意的是,HIPAA要求并未得到豁免。这意味着,尽管医疗保健组织在工具上可能有更大的回旋余地,但他们习惯于继续开展业务,但仍必须保护他们收集,存储和处理的敏感健康数据。

HHS指出,在紧急情况下,HIPAA范围内的组织必须继续实施合理的保护措施,以保护患者信息免遭有意或无意的不允许的使用和披露。他们还必须采用《 HIPAA安全规则》中详述的管理,物理和技术防护措施。

远程工作时保护健康数据

一旦医疗保健提供者决定实施远程工作计划,对他们来说至关重要的是,即使健康数据在公司网络安全范围之外,也必须得到保护。这从员工将要远程使用的设备开始:它们必须经过加密,受密码保护,并且已安装了更新的防火墙和防病毒软件。

应该使用虚拟专用网络(VPN)远程访问公司网络。应该要求员工在每个工作日结束时断开连接,以确保其计算机保持连接状态的时间不会超过与公司网络的连接时间。

公司应使用类似的解决方案 防止数据丢失 (DLP)工具,以确保无法将健康数据复制到组织未批准的任何外部设备。这样,潜在的恶意设备无法连接到计算机,并且静态数据也无法以不符合HIPAA的方式进行窃取或存储。

文件的物理保护

在家工作还可能意味着员工可以通过邮件打印信息或接收健康信息。因此,至关重要的是,无论将其存储在安全的地方,无论是放在上锁的橱柜中还是只有他们自己都无法访问的家庭办公室中。如果出于原始目的不再需要它们,则应粉碎或销毁物理文件。

同样重要的是,员工必须在没有人看到或听到他们正在传输或工作的信息的私人空间中工作。除员工本人外,其他任何人均不得访问存储受保护的健康信息的计算机。

监视和记录健康信息

最后,应始终监控健康数据,以确保合规并帮助公司发现员工在家中工作时可能会尝试使用的任何危险行为。记录健康信息的移动也是组织在OCR要求的情况下证明合规性的一种方法。

资源://www.endpointprotector.com/blog/hipaa-compliance-and-covid-19/